大數(shù)據(jù)分析可以通過(guò)基于異常發(fā)現(xiàn)的檢測(cè)機(jī)制，相對(duì)于傳統(tǒng)基于靜態(tài)規(guī)則，能夠發(fā)現(xiàn)更多隱藏的持續(xù)的攻擊。因此，越來(lái)越多的企業(yè)在采用大數(shù)據(jù)安全分析技術(shù)應(yīng)用于安全防護(hù)，百度亦不例外?！?a target="_blank" >WOT2015"互聯(lián)網(wǎng)+"時(shí)代大數(shù)據(jù)技術(shù)峰會(huì)】51CTO特邀講師百度高級(jí)安全工程師吳登輝，帶大家感知未知Web攻擊，分享Web防火墻大數(shù)據(jù)安全分析實(shí)踐。

百度高級(jí)安全工程師 吳登輝

吳登輝：百度高級(jí)安全工程師。歷經(jīng)安全運(yùn)維，安全測(cè)試，安全開(kāi)發(fā)。對(duì)企業(yè)安全體系建設(shè)，以及安全大數(shù)據(jù)分析具有較為深入的了解。曾就職于華為，負(fù)責(zé)二進(jìn)制方面的漏洞挖掘工作。入職百度后，曾負(fù)責(zé)web安全測(cè)試、移動(dòng)app安全評(píng)估以及一些安全規(guī)范安全體系的建立等，也參與了百度安全中心的建立。目前，主要負(fù)責(zé)web日志的安全分析。

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)對(duì)政治、經(jīng)濟(jì)、社會(huì)和文化的影響愈加深遠(yuǎn)，圍繞著信息獲取、利用和控制的國(guó)際競(jìng)爭(zhēng)日趨激烈，網(wǎng)絡(luò)與信息安全面臨的形勢(shì)日益嚴(yán)峻。而且，服務(wù)和業(yè)務(wù)逐漸擴(kuò)展到Web平臺(tái)上，Web安全威脅接踵而至。攻擊者可以利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問(wèn)者受到侵害。

作為具有豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的Web安全專(zhuān)家，吳登輝表示：“對(duì)互聯(lián)網(wǎng)企業(yè)而言，目前針對(duì)Web安全最關(guān)注兩點(diǎn)：一是，Web系統(tǒng)的可用性;二是，用戶數(shù)據(jù)的保密性。這就涉及到目前影響最大的幾種攻擊方式，包括DDOS和數(shù)據(jù)庫(kù)注入以及撞庫(kù)。同時(shí)，新型漏洞從爆發(fā)到大規(guī)模利用的時(shí)間也越來(lái)越短。”

為了防范web安全威脅，很多企業(yè)選擇部署Web防火墻。有使用硬件盒子式的，也有使用基于云的Web防火墻。吳登輝建議，在部署時(shí)一定要注意防火墻規(guī)則的維護(hù)。針對(duì)硬件盒子形式的防火墻，企業(yè)需要專(zhuān)門(mén)有相應(yīng)的運(yùn)維人員。而當(dāng)前基于云的Web防火墻例如百度云加速，安全寶等，云廠商則會(huì)幫企業(yè)進(jìn)行統(tǒng)一的維護(hù)，并進(jìn)行漏洞響應(yīng)，從而大大降低企業(yè)的成本。

Web防火墻大數(shù)據(jù)安全分析實(shí)踐

作為一名Web安全防護(hù)人員，你是否想要知道攻擊是什么時(shí)候發(fā)生的?網(wǎng)站是怎么被攻擊的?攻擊者又是誰(shuí)?網(wǎng)站是否安裝了木馬?你是否想要在攻擊者動(dòng)手前摁住他?在網(wǎng)絡(luò)邊界早已模糊的今天，在大數(shù)據(jù)的時(shí)代，大數(shù)據(jù)安全分析可以幫助你從更廣闊的視野里尋找更深層次的原因，找出潛在的可循規(guī)律，感知Web攻擊。

吳登輝表示，大數(shù)據(jù)安全分析是為了彌補(bǔ)現(xiàn)有漏洞發(fā)現(xiàn)手段的不足，及時(shí)檢測(cè)攻擊并實(shí)施攻擊阻斷，所用的基于數(shù)據(jù)關(guān)聯(lián)與分析的方法。為了彌補(bǔ)傳統(tǒng)的安全防御體系的不足，包括主動(dòng)掃描能力無(wú)法完整覆蓋業(yè)務(wù)，阻斷攻擊時(shí)WAF/IPS誤傷業(yè)務(wù)，新型攻擊出現(xiàn)，攻擊檢測(cè)的策略無(wú)法及時(shí)更新的問(wèn)題……而不是為了炒作制作個(gè)公雞(攻擊)圖。在Web防火墻大數(shù)據(jù)安全分析的實(shí)踐中，需要從數(shù)據(jù)采集、數(shù)據(jù)分析、基礎(chǔ)架構(gòu)，以及數(shù)據(jù)分析實(shí)踐四個(gè)方面出發(fā)。

數(shù)據(jù)采集：采集一切數(shù)據(jù)放到集群上，以及只采集系統(tǒng)已有的數(shù)據(jù)放到集群上，這兩種做法都有問(wèn)題。那么究竟該如何采集安全數(shù)據(jù)?對(duì)于有針對(duì)性的數(shù)據(jù)采集，需要開(kāi)發(fā)特定的采集探針，數(shù)據(jù)將更有效并會(huì)事半功倍。例如：可以按照攻擊樹(shù)和Cyber Kill Chain來(lái)采集數(shù)據(jù)，構(gòu)建攻擊場(chǎng)景。

數(shù)據(jù)分析：在進(jìn)行數(shù)據(jù)分析時(shí)，工作人員需要通過(guò)機(jī)器學(xué)習(xí)發(fā)現(xiàn)異常，通過(guò)進(jìn)行人工標(biāo)定和分析來(lái)產(chǎn)生規(guī)則情報(bào)，最終把規(guī)則情報(bào)反饋給分析系統(tǒng)，產(chǎn)出更多的信息。

系統(tǒng)架構(gòu)：系統(tǒng)架構(gòu)需要實(shí)現(xiàn)交互式搜索，情報(bào)易集成可動(dòng)態(tài)配置，支持機(jī)器學(xué)習(xí)模型訓(xùn)練以及支持實(shí)時(shí)模型調(diào)用。

數(shù)據(jù)分析實(shí)踐：為了發(fā)現(xiàn)繞過(guò)Web防火墻的攻擊行為，并提取攻擊情報(bào)，包括掃描器payload惡意攻擊IP等。需要從HTTP請(qǐng)求的各個(gè)角度，PATH, QUERY, UA, SESSION等多個(gè)維度進(jìn)行分析。并采用基于統(tǒng)計(jì)、機(jī)器學(xué)習(xí)，對(duì)PATH，QUERY，SESSION等建立模型的分析方法。包括：參數(shù)分布，請(qǐng)求頻率，SESSION請(qǐng)求寬度，404比例等。

據(jù)吳登輝透露，目前百度針對(duì)安全寶和云加速的用戶，已經(jīng)開(kāi)發(fā)出這樣的一套大數(shù)據(jù)分析系統(tǒng)-- “諦聽(tīng)”。它會(huì)根據(jù)網(wǎng)站的訪問(wèn)訓(xùn)練出網(wǎng)站的正常的訪問(wèn)模型，從而發(fā)現(xiàn)未知的攻擊。目前該系統(tǒng)已經(jīng)成功的幫安全管理人員發(fā)現(xiàn)了很多繞過(guò)防火墻的高級(jí)攻擊。同時(shí)，它也會(huì)從攻擊中提取出情報(bào)信息，包括惡意IP地址，新型的攻擊payload等。

如果想要更加深入的了解，那你只能來(lái)WOT了……

在11月28-29日由51CTO主辦位于深圳的【W(wǎng)OT2015“互聯(lián)網(wǎng)+”時(shí)代大數(shù)據(jù)技術(shù)峰會(huì)】中，吳登輝將通過(guò)對(duì)百度Web防火墻(云加速/安全寶)的海量日志包括訪問(wèn)日志和攔截日志進(jìn)行多角度分析，感知未知Web攻擊，并為其他安全產(chǎn)品提供情報(bào)支持。

• WOT講師單藝：用大數(shù)據(jù)開(kāi)發(fā)產(chǎn)品、優(yōu)化運(yùn)營(yíng)
• MOB蘭旭：縱向深入分析大數(shù)據(jù) 獲得“預(yù)見(jiàn)未來(lái)”的能力
• WOT講師董乃文：微軟提供的那些大數(shù)據(jù)服務(wù)與技術(shù)
• WOT講師劉帆：大數(shù)據(jù)+醫(yī)院信息化下的奇妙化學(xué)反應(yīng)
• WOT講師覃超：前Facebook工程師問(wèn)你,增長(zhǎng)用戶非要燒錢(qián)?
• WOT講師管理心理學(xué)博士于際敬：大數(shù)據(jù)時(shí)代的“心”發(fā)現(xiàn)
• WOT講師劉黎春：互聯(lián)網(wǎng)征信是新藍(lán)海
• WOT講師馮揚(yáng)：體系變化與用戶建模角度探索微博推薦
• WOT講師張溪夢(mèng):拿什么拯救你,疲于污水處理的數(shù)據(jù)分析師
• WOT講師手淘技術(shù)專(zhuān)家陳武：手淘億級(jí)UV背后的大數(shù)據(jù)采集體系
• WOT講師任化偉：大數(shù)據(jù)技術(shù)讓 O2O 基礎(chǔ)信息更“靠譜”
• 如何將 Google 神秘的數(shù)據(jù)中心管理系統(tǒng)搬回家
• WOT講師楊德升：程序員創(chuàng)業(yè)都需要什么
• WOT講師錢(qián)承君：大數(shù)據(jù)帶給百度測(cè)試團(tuán)隊(duì)的發(fā)展新探索
• WOT講師劉鵬：大數(shù)據(jù)應(yīng)該指導(dǎo)機(jī)器而不是人的決策